Riflettori puntati su: Passkey – Scopri

Se hai sempre sognato di creare un’esperienza di accesso più sicura e resistente al phishing, abbiamo buone notizie.

“C’è un’alta probabilità che tra qualche anno il rilascio delle passkey da parte di Apple come parte di iOS 16 verrà ricordato come l’inizio di un cambiamento rivoluzionario nel modo in cui le aziende implementano l’accesso per i loro prodotti”, ha scritto Matthias Keller, Kayak capo scienziato e vicepresidente senior della tecnologia, in un editoriale del 2022 sull’argomento.

Le passkey offrono un’esperienza di accesso più rapida, semplice e sicura per le tue app e i tuoi siti web. Sono potenti, resistenti al phishing e progettati per funzionare su tutti i dispositivi Apple e sui dispositivi non Apple vicini. E poiché sono integrati con Touch ID e Face ID, le persone possono utilizzare le passkey come farebbero con qualsiasi altro sistema o routine di accesso.

Una passkey è un’entità crittografica utilizzata al posto di una password composta da due chiavi: una pubblica e una privata. La chiave pubblica viene registrata con un’app o un sito Web e conservata su un server Web, mentre la chiave privata viene archiviata sui dispositivi. Quando qualcuno tenta di accedere, l’app o il sito Web creano una sfida. La chiave privata firma la sfida per creare una firma e la chiave pubblica viene utilizzata per verificare tale firma senza rivelare quale sia la chiave privata.

Sebbene succedano molte cose dietro le quinte, la maggior parte delle persone non ne saprà nulla o non avrà bisogno di pensarci. Con le passkey non c’è nulla da creare, proteggere o ricordare. Inoltre, la chiave privata viene archiviata nel portachiavi iCloud ed è crittografata end-to-end per un ulteriore livello di sicurezza.

Kayak: “Devi solo avviare il processo”

Quello del kayak Keller non è solo un evangelista della sicurezza digitale di lunga data con anni di storia nel settore. È anche un papà e questo pone una serie di sfide alla sicurezza.

“Tra le attività e la scuola, creo costantemente account e password, che hanno tutti una serie di condizioni”, afferma Keller. “Alcuni non possono contenere più di 16 caratteri, alcuni richiedono simboli speciali e altri non riconoscono nemmeno un punto esclamativo. E so per esperienza che le aziende affrontano sfide simili quando si tratta di proteggere le password.”

Keller è stato coinvolto Quello del kayak vari approcci di accesso durante i suoi 10 anni con l’azienda. Prima delle passkey, l’app si basava in gran parte su “collegamenti magici” inviati via e-mail. “Ma garantire la sicurezza dei collegamenti magici stava diventando sempre più complesso, soprattutto quando si supportavano gli accessi su più dispositivi”, afferma Keller.

Tra le attività e la scuola, creo costantemente account e password, tutti con una varietà di condizioni.

Mattia Keller, Kayak capo scienziato e vicepresidente senior della tecnologia

Quando Keller sentì parlare per la prima volta delle passkey, sapeva che erano adatte Kayak. “Il momento in cui ho capito è stato quando ho visto il primo prototipo e quanto fosse facile da usare”, afferma. Kayak è stato uno dei primissimi a supportare le passkey, rilasciando il proprio aggiornamento contemporaneamente al rilascio pubblico della funzionalità nel settembre 2022.

IL Kayak il team è stato in grado di adottare le passkey così rapidamente, in parte grazie alla struttura sottostante e alla documentazione che supporta la funzionalità. “Lavorare sul server è la mia attività quotidiana, ma non ho paura di dedicarmi anche un po’ a Swift”, afferma. “Fortunatamente, l’integrazione delle passkey è stata semplice dal punto di vista dell’interfaccia utente. Dovevamo solo avviare l’esperienza fornita da Apple.”

Il feedback è stato estremamente positivo. Nelle prime tre settimane di disponibilità della funzionalità, migliaia di persone hanno creato passkey su Kayak. Quasi il 20% di questi erano utenti esistenti che hanno aderito manualmente alla nuova tecnologia.

“Il mondo prima delle chiavi di accesso era rotto”, dice. “Ci sono tutte queste regole oscure sulle password, così come problemi di scadenza e di conformità, e può essere estremamente costoso offrire l’autenticazione perché devi acquistare prodotti di sicurezza o assumere qualcuno che lo esegua per te.” Il lavoro di Keller a Kayak fa parte di un impegno più ampio volto a convincere più aziende in tutto il mondo a supportare questo nuovo standard aperto, uno standard che protegge i suoi sviluppatori tanto quanto i suoi clienti. “Non è più necessario proteggere milioni di password. Ora memorizziamo solo le chiavi pubbliche, che sono piuttosto inutili per gli hacker.”

Per Keller, le chiavi di accesso sono ora una parte cruciale Quello del kayak strategia di sicurezza. “Dobbiamo fare un lungo viaggio prima che l’ultima password venga eliminata, ma è emozionante vedere dove siamo diretti”, afferma.

Robinhood: “Parliamo dell’aspetto emotivo”

Per app di investimento Robin Hoodle passkey offrono un vantaggio fondamentale rispetto ad altre opzioni di accesso sicuro: la velocità.

“Robin Hood è un prodotto a cui potresti voler accedere e completare un’azione urgente”, afferma Hannarae Nam, product manager dell’app per la sicurezza dell’account. “Forse il mercato sta aprendo e [you] voglio fare uno scambio immediatamente.” Digitare una password o eseguire l’autenticazione a due fattori può consumare secondi preziosi e potrebbe costarti un affare o uno scambio prezioso.

Stiamo parlando dell’aspetto emotivo dell’accesso immediato al tuo account.

Yong Rhee, Robin Hood leader del prodotto per la fiducia e la sicurezza del cliente

Con le passkey, l’app può fornire un processo di accesso rapido che offre anche la massima sicurezza. “È fondamentale capire che non stiamo parlando solo della capacità di interagire Robin Hood investire e commerciare”, afferma Yong Rhee, responsabile del prodotto per la fiducia e la sicurezza dei clienti. “Stiamo parlando dell’aspetto emotivo dell’accesso immediato al tuo account.”

Garantire che i clienti non vengano esclusi è fondamentale Robin Hood, dice Rhee. Le passkey vengono gestite dal sistema operativo e vengono sottoposte a backup, sincronizzate e disponibili su tutti i dispositivi di qualcuno. Non è necessario digitare e niente da ricordare. E le persone possono facilmente accedere ai propri account anche se perdono il telefono.

Quella di Robinhood il team di sicurezza ha spinto fin dall’inizio a introdurre le passkey come potenziale soluzione per i propri clienti. “Sono stati un forte sostenitore dell’importanza di far emergere le vulnerabilità delle password”, afferma Rhee. Il team ha distribuito le passkey a una percentuale di clienti nel dicembre 2022, anche se prevede di continuare a mantenere la password esistente e il sistema di autenticazione a due fattori man mano che verrà implementata l’adozione delle passkey. “Penso che quando i clienti si metteranno al passo con la tecnologia, capiranno e si sentiranno più sicuri della sicurezza dell’account”, afferma Rhee.

Instacart: “Sembrava un abbinamento perfetto”

Instagram L’ingegnere mobile senior Josh Schroeder era in congedo di paternità quando le passkey furono introdotte alla WWDC22, ma prese nota di approfondire l’idea al suo ritorno. “Tra la riduzione degli attriti e la maggiore sicurezza, sembrava un abbinamento perfetto”, afferma.

IL Instagram Il team ha approvato rapidamente l’idea, incoraggiato dall’opportunità di ridurre i problemi di accesso. “Questo è stato il principale punto di forza per me”, afferma Brandon Lawrence, Quello di Instacart Senior Software Engineer. “Bene, quello e non dover ricordare un’altra password.”

Crediamo nelle chiavi di accesso e pensiamo che questo diventerà davvero comune.

Josh Schroeder, Instagram ingegnere mobile senior

Per Instagram, c’era anche un secondo vantaggio: l’opportunità di ridurre gli account duplicati. “Quando non ricordano la password, molte persone creano semplicemente un altro account”, afferma Schroeder. Le passkey evitano quella duplicazione non necessaria (e fastidiosa). Poiché i dispositivi tengono traccia delle passkey, non c’è nulla da ricordare.

Il processo di implementazione iniziale ha fatto sentire Lawrence, che ha trascorso parte della sua carriera pre-tecnologica come meteorologo nei Marines, come una specie di pioniere delle chiavi di accesso. “Per gran parte di ciò che costruiamo, possiamo guardare alle molte persone che lo hanno già fatto in precedenza. Questa volta c’è stata molta più esplorazione, un po’ più la sensazione di trovarci in un territorio inesplorato. Una volta messo a punto, tutto è stato relativamente fluido.

Oggi, le passkey vengono presentate come opzione di accesso predefinita durante la creazione di un file Instagram account con un indirizzo email (anche se se qualcuno rifiuta, l’app offre la possibilità di creare una password tradizionale). Più della metà del nuovo Instagram i clienti che hanno creato account con un indirizzo email hanno adottato la funzionalità e sono in corso piani per convertire gradualmente anche gli account esistenti. “Crediamo nelle chiavi di accesso”, afferma Schroeder, “e pensiamo che questo diventerà davvero comune”.

Risorse

Panoramica delle passkey

Sulla sicurezza delle chiavi di accesso

Supporto delle passkey

Connessione a un servizio con passkey